計(jì)算機(jī)網(wǎng)絡(luò)安全原理（第2版）課件 第3章 消息認(rèn)證與身份認(rèn)證

第三章消息認(rèn)證與身份認(rèn)證問(wèn)題針對(duì)信息的被動(dòng)攻擊，如監(jiān)聽(tīng)或截獲加密的方法針對(duì)信息的主動(dòng)攻擊，比如：信息內(nèi)容進(jìn)行更改、刪除、添加；改變信息的源點(diǎn)、目的點(diǎn)、信息的順序；偽造消息；利用曾經(jīng)發(fā)送過(guò)或存儲(chǔ)過(guò)的信息（重放）；…問(wèn)題：如何來(lái)應(yīng)對(duì)上述主動(dòng)攻擊呢？？認(rèn)證：概念(1/2)認(rèn)證（Authentication，又稱(chēng)為鑒別、確認(rèn)）是證實(shí)信息交換過(guò)程合法有效的一種手段，主要解決以下一些問(wèn)題：信息的訪(fǎng)問(wèn)者是不是系統(tǒng)的合法用戶(hù)？A和B在進(jìn)行信息交換時(shí)，A和B都必須對(duì)對(duì)方的身份進(jìn)行認(rèn)證，以保證所收到的信息是由確定的實(shí)體發(fā)送的；A向B發(fā)送信息，B作為接收方，必須確定信息在A發(fā)出以后是否被修改過(guò)；認(rèn)證：概念(2/2)認(rèn)證主要解決的問(wèn)題（Cont.）：對(duì)收到的信息，B必須確定是過(guò)時(shí)的信息還是某種信息的重放，還是偽造的消息；發(fā)送方不能否認(rèn)它所發(fā)送過(guò)的信息；認(rèn)證是保證上述幾種情況真實(shí)性的方法認(rèn)證的類(lèi)型一般可將認(rèn)證分為以下幾種身份認(rèn)證報(bào)文認(rèn)證（消息認(rèn)證）：內(nèi)容認(rèn)證（完整性檢測(cè)）順序認(rèn)證發(fā)送方認(rèn)證（數(shù)字簽名）內(nèi)容提綱消息認(rèn)證2身份認(rèn)證3散列函數(shù)1為什么要學(xué)習(xí)散列函數(shù)？問(wèn)題登錄時(shí)的口令是怎樣傳輸?shù)?？?wèn)題Linux的口令是怎樣存儲(chǔ)的？問(wèn)題殺毒軟件是怎樣檢測(cè)病毒的？樣本散列值樣本散列值樣本散列值基本樣本散列值的檢測(cè)基本樣本散列值的檢測(cè)我們?cè)撛鯓訖z查從第三方下載的軟件是否與官網(wǎng)一致？問(wèn)題Windows操作系統(tǒng)以及一些安全軟件是如何防止系統(tǒng)中的重要文件、升級(jí)包被攻擊者替換、篡改？密鑰是如何生成的？問(wèn)題生成密鑰SSL/TLS協(xié)議：生成主密鑰（參見(jiàn)第7章）生成密鑰‘A’PMCRSR‘BB’PMCRSR‘CCC’PMCRSRSHA-1SHA-1SHA-1PM散列PM散列PM散列MD5MD5MD5散列散列散列PM：預(yù)備主密鑰SR：服務(wù)器隨機(jī)數(shù)CR：客戶(hù)端隨機(jī)數(shù)主密鑰（48字節(jié)）SSL/TLS協(xié)議：密鑰參數(shù)生成（參見(jiàn)第7章）生成密鑰‘A’MCRSR‘BB’MCRSR‘···’MCRSRSHA-1SHA-1SHA-1M散列M散列M散列MD5MD5MD5散列散列散列M：主密鑰SR：服務(wù)器隨機(jī)數(shù)CR：客戶(hù)端隨機(jī)數(shù)密鑰參數(shù)······實(shí)際應(yīng)用中，很多加密密鑰產(chǎn)生算法與散列函數(shù)有關(guān)某智能門(mén)鎖對(duì)稱(chēng)會(huì)話(huà)密鑰產(chǎn)生方法：使用time函數(shù)得到當(dāng)前的系統(tǒng)時(shí)間，然后對(duì)系統(tǒng)時(shí)間加上其它一些參數(shù)進(jìn)行MD5計(jì)算得到生成密鑰比特幣的原理是什么？問(wèn)題散列函數(shù)與比特幣該怎樣確保通信內(nèi)容沒(méi)有被篡改？問(wèn)題問(wèn)題安全消息消息安全消息消息秘密信息秘密信息安全相關(guān)變換安全相關(guān)變換發(fā)送方接收方可信第三方（如仲裁者、秘密信息的分配者）信息通道攻擊者網(wǎng)絡(luò)通信安全模型散列函數(shù)（hashfunction）是現(xiàn)代密碼學(xué)的重要組成部分h=H(M)：h稱(chēng)為散列值、散列碼、報(bào)文摘要（MessageDigest）或消息摘要，對(duì)于特定的散列函數(shù)H，h的長(zhǎng)度是固定的散列函數(shù)王小云院士在在2020中關(guān)村論壇上做“密碼技術(shù)與區(qū)塊鏈”主題演講中提到：：哈希函數(shù)支撐三大安全性散列函數(shù)散列函數(shù)密碼學(xué)上的散列函數(shù)（安全的散列函數(shù)）與數(shù)據(jù)結(jié)構(gòu)中的散列函數(shù)兩個(gè)重要特性唯一性：兩個(gè)不同的輸入產(chǎn)生不同的輸出，如果輸入不同但輸出相同，則產(chǎn)生了“碰撞（collision）”雪崩效應(yīng)（avalancheeffect）：消息中的一個(gè)微小變化，甚至只是改變一個(gè)比特位，都可能會(huì)在輸出中產(chǎn)生一個(gè)明顯的變化散列函數(shù)散列函數(shù)H的安全性需求散列函數(shù)另一種安全屬性的表述散列函數(shù)密碼學(xué)Hash函數(shù)應(yīng)用消息認(rèn)證確保消息沒(méi)有被修改、插入、刪除或重放確保消息發(fā)送方聲稱(chēng)的身份真實(shí)有效文件完整性校驗(yàn)：判斷文件是否被修改數(shù)字簽名保護(hù)消息完整性，驗(yàn)證消息發(fā)送方身份單向口令文件入侵檢測(cè)和病毒檢測(cè)區(qū)塊鏈

散列函數(shù)各種數(shù)據(jù)完整性應(yīng)用中的散列函數(shù)安全性需求報(bào)文摘要（MessageDigest,MD）算法是由Rivest從20世紀(jì)80年代末所開(kāi)發(fā)的系列散列算法的總稱(chēng)，歷稱(chēng)MD2、MD3、MD4和最新的MD5MDMD5MD5是對(duì)MD4的改進(jìn)輸入：任意長(zhǎng)的報(bào)文；輸出：128位的報(bào)文摘要過(guò)程：對(duì)輸入按512位進(jìn)行分組，并以分組為單位進(jìn)行處理：填充報(bào)文初始化緩沖區(qū)執(zhí)行算法主循環(huán)（核心是壓縮函數(shù)）輸出MD5的輸入為512位分組，輸出是4個(gè)32位字的級(jí)聯(lián)（128位散列值），過(guò)程如下：首先，消息被拆成若干個(gè)512位的分組，其中最后512位分組是“消息尾+填充字節(jié)(100…0)+64位消息長(zhǎng)度”，以確保對(duì)于不同長(zhǎng)度的消息，該分組不相同。4個(gè)32位寄存器字初始化為A=0x01234567，B=0x89abcdef，C=0xfedcba98，D=0x76543210，它們將始終參與運(yùn)算并形成最終的散列結(jié)果MD5關(guān)于A，B，C，D初始化值MD5小端模式大端模式MD5的輸入為512位分組，輸出是4個(gè)32位字的級(jí)聯(lián)（128位散列值），過(guò)程如下：接著，各個(gè)512位消息分組以16個(gè)32位字的形式進(jìn)入算法的主循環(huán)，512位消息分組的個(gè)數(shù)決定了循環(huán)的次數(shù)。主循環(huán)有4輪，每輪分別用到的非線(xiàn)性函數(shù)如下：MD5MD5的輸入為512位分組，輸出是4個(gè)32位字的級(jí)聯(lián)（128位散列值），過(guò)程如下：這4輪變換是對(duì)進(jìn)入主循環(huán)的512位消息分組的16個(gè)32位字分別進(jìn)行如下操作：將A、B、C、D的副本a、b、c、d中的3個(gè)經(jīng)F、G、H、I運(yùn)算后的結(jié)果與第4個(gè)相加，再加上32位字和一個(gè)32位字的加法常數(shù)，并將所得之值循環(huán)左移若干位，最后將所得結(jié)果加上a、b、c、d之一，并回送至ABCD，完成一次循環(huán)MD5MD5MD5的輸入為512位分組，輸出是4個(gè)32位字的級(jí)聯(lián)（128位散列值），過(guò)程如下：當(dāng)所有512位分組都運(yùn)算完畢后，ABCD的級(jí)聯(lián)將被輸出為MD5散列的結(jié)果MD5MD52004年國(guó)際密碼學(xué)會(huì)議(Crypto’2004)上，王小云教授做了破譯MD5、HAVAL-128、MD4和RIPEMD算法的報(bào)告，提出了密碼哈希函數(shù)的碰撞攻擊理論，即模差分比特分析法。王教授的相關(guān)研究成果提高了破解包括MD5、SHA-1在內(nèi)的5個(gè)國(guó)際通用的哈希函數(shù)算法的概率，給出了系列消息認(rèn)證碼MD5-MAC等的子密鑰恢復(fù)攻擊和HMAC-MD5的區(qū)分攻擊方法。MD5SHA（SecureHashAlgorithm）算法是使用最廣泛的Hash函數(shù)，由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和美國(guó)國(guó)家安全局（NSA）設(shè)計(jì)，包括5個(gè)算法，分別是SHA-1、SHA-224、SHA-256、SHA-384和SHA-512，后四個(gè)算法有時(shí)并稱(chēng)為SHA-2。SHA-1在許多安全協(xié)議中廣為使用，如TLS和SSL、PGP、SSH、S/MIME和IPsec等SHASHA算法建立在MD4算法之上，其基本框架與MD4類(lèi)似。SHA-1算法產(chǎn)生160bit的散列值，因此它有5個(gè)參與運(yùn)算的32位寄存器字，消息分組和填充方式與MD5相同，主循環(huán)也同樣是4輪，但每輪進(jìn)行20次操作，非線(xiàn)性運(yùn)算、移位和加法運(yùn)算也與MD5類(lèi)似，但非線(xiàn)性函數(shù)、加法常數(shù)和循環(huán)左移操作的設(shè)計(jì)有一些區(qū)別。SHASHA-2與SHA-1類(lèi)似，都使用了同樣的迭代結(jié)構(gòu)和同樣的模算法運(yùn)算與二元邏輯操作。SHA2/SHA256動(dòng)畫(huà)演示網(wǎng)站SHA-1的安全性2005年2月，王小云等人發(fā)表了對(duì)SHA-1的攻擊，只需少于269的計(jì)算復(fù)雜度，就能找到一組碰撞，而此前的利用生日攻擊法找到碰撞需要280的計(jì)算復(fù)雜度SHANIST在2007年公開(kāi)征集新一代NIST的Hash函數(shù)標(biāo)準(zhǔn)，稱(chēng)為SHA-3，并于2012年10月公布了設(shè)計(jì)算法的優(yōu)勝者，未來(lái)將逐漸取代SHA-2。SHA-3的設(shè)計(jì)者使用一種稱(chēng)為海綿結(jié)構(gòu)的迭代結(jié)構(gòu)方案SHA3SM3是我國(guó)政府采用的一種密碼散列函數(shù)標(biāo)準(zhǔn)，由國(guó)家密碼管理局于2010年12月17日發(fā)布，相關(guān)標(biāo)準(zhǔn)為“GM/T0004-2012《SM3密碼雜湊算法》”SM3算法增加了多種新設(shè)計(jì)技術(shù)，從而在安全性和效率上具有優(yōu)勢(shì)。在保障安全性的前提下，SM3算法的綜合性能指標(biāo)與SHA-256在同條件下相當(dāng)。SM3已經(jīng)被認(rèn)為不安全的散列算法MD5、HAVAL-128、MD4、RIPEMD、SHA-1一些標(biāo)準(zhǔn)已禁用不安全的散列算法，但還有很多應(yīng)用在用，對(duì)網(wǎng)絡(luò)安全會(huì)有什么影響嗎？散列函數(shù)安全性討論有人說(shuō)“所有的散列函數(shù)都存在產(chǎn)生碰撞的問(wèn)題，很不安全”，你認(rèn)同這一觀點(diǎn)嗎？為什么？散列函數(shù)安全性討論用對(duì)上述MD5值進(jìn)行破解，有時(shí)很快就能出結(jié)果，是該網(wǎng)站找到了MD5算法的漏洞，還是采用了別的什么辦法？散列函數(shù)安全性討論內(nèi)容提綱消息認(rèn)證2身份認(rèn)證3散列函數(shù)1問(wèn)題的提出：消息可能是攻擊者偽造身份發(fā)送的，消息在網(wǎng)絡(luò)傳輸過(guò)程中可能遭受篡改，消息也可能是過(guò)時(shí)消息的重放或排序被打亂后的消息消息認(rèn)證，也稱(chēng)為報(bào)文認(rèn)證、消息鑒別，指的是通信雙方對(duì)各自接收的消息進(jìn)行驗(yàn)證，確定消息的一些屬性是否真實(shí)的過(guò)程，如被驗(yàn)證的消息屬性包括發(fā)送方的身份、內(nèi)容的完整性以及消息的順序等等消息認(rèn)證一、消息內(nèi)容認(rèn)證消息內(nèi)容的認(rèn)證是指接收方在接收到消息以后對(duì)消息進(jìn)行檢查，確保自己接收的消息與發(fā)送方發(fā)送的消息相同（沒(méi)有被篡改，也不是一條偽造的消息），即消息在傳輸過(guò)程中的完整性沒(méi)有受到破壞，也稱(chēng)為“完整性檢測(cè)”。消息內(nèi)容認(rèn)證如果直接對(duì)消息加密，則需要解決如何判斷解密是否成功的問(wèn)題？完整性檢測(cè)：加密方法對(duì)完整消息進(jìn)行加密的方法完整性檢測(cè)：加密方法（b）用公開(kāi)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：機(jī)密性、完整性？（a）用對(duì)稱(chēng)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：機(jī)密性、完整性MEKDKMA||C=E

(K,M||h)hMhCHh=H

(M)Hh

比較BMEDMA||C=E

(PKB,M||h)hMhCHh=H

(M)Hh

比較BPKBSKBMEDMA||C=E

(SKA,M||h)hMhCHh=H

(M)Hh

比較BSKAPKA（c）用公開(kāi)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：不可否認(rèn)性、完整性1、方案(b)和(c)用公開(kāi)密碼算法對(duì)消息直接進(jìn)行加密操作，有什么問(wèn)題嗎？2、方案(b)能保證完整性嗎？只對(duì)消息散列值進(jìn)行加密的方案只對(duì)散列值進(jìn)行加密，既解決了消息是否被篡改的問(wèn)題，又提高了性能完整性檢測(cè)：加密方法（b）用公開(kāi)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：完整性?（a）用對(duì)稱(chēng)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：完整性MEKDKMA||C

=E

(K,h)hMCHh=H

(M)Hh

比較B（c）用公開(kāi)密碼算法實(shí)現(xiàn)消息內(nèi)容認(rèn)證：不可否認(rèn)性、完整性MCh

=D

(K,C)MEDSKBM||C

=E

(PKB,h)hMCHh=H

(M)Hh

比較BMCh

=D

(SKB,C)APKBMEDPKAM||C

=E

(SKA,h)hMCHh=H

(M)Hh

比較BMCh

=D

(PKA,C)ASKA討論一：如果只是在消息后附加消息散列值發(fā)送給接收方，而不對(duì)消息或散列值加密保護(hù)，能保護(hù)消息的完整性嗎？討論二：除了散列碼，使用通信中常用的檢驗(yàn)和（Checksum，如CRC）是否也可以檢測(cè)完整性？如果可以，與散列碼相比，有什么優(yōu)缺點(diǎn)？完整性檢測(cè)：加密方法完整性檢測(cè)：MAC消息認(rèn)證碼（MessageAuthenticationCode,MAC）：通信雙方需要共享一個(gè)密鑰，以K來(lái)表示。同時(shí)，需要用于生成消息認(rèn)證碼的函數(shù)F。對(duì)于消息M，其消息認(rèn)證碼MACM與M和K相關(guān)，可以表示為：

MACM

=F(M,K)

不管消息的長(zhǎng)短，都生成固定大小的數(shù)據(jù)塊完整性檢測(cè)：MAC基于MAC的完整性檢測(cè)發(fā)送者接收者M(jìn)ACM=F(M,K)MKMACM′

=F(M′,K)KM||MACMMACM′相等丟棄MACMMACM比較不等能保障哪些安全屬性？完整性檢測(cè)：MAC基于MAC的完整性檢測(cè)消息認(rèn)證碼（MAC）有很多方法可以生成MAC，NIST標(biāo)準(zhǔn)FIPSPUB113推薦使用DES。用DES生成密文，將密文的最后若干個(gè)比特用作MAC。典型的有16或32比特的MAC散列消息認(rèn)證碼（HMAC）：F為散列函數(shù)完整性檢測(cè)：MACHMAC完整性檢測(cè)：MAC討論：MAC與Hash的區(qū)別完整性檢測(cè)討論：MAC與加密的區(qū)別完整性檢測(cè)二、消息順序認(rèn)證如何解決重放攻擊？消息順序的認(rèn)證機(jī)制序列號(hào)時(shí)間戳挑戰(zhàn)及響應(yīng)（challenge/response）消息順序的認(rèn)證現(xiàn)時(shí)（Nonce）Nonce是Numberusedonce或Numberonce的縮寫(xiě)，是一個(gè)隨時(shí)間而改變的參數(shù)，在密碼學(xué)中通常是一個(gè)只被使用一次的任意或非重復(fù)的隨機(jī)數(shù)值消息順序的認(rèn)證真隨機(jī)數(shù)真隨機(jī)數(shù)數(shù)列是不可預(yù)測(cè)的，因而也不可能重復(fù)產(chǎn)生兩個(gè)相同的真隨機(jī)數(shù)數(shù)列真隨機(jī)數(shù)只能用某些隨機(jī)物理過(guò)程來(lái)產(chǎn)生。例如：擲錢(qián)幣、骰子、轉(zhuǎn)輪、放射性衰變、電子設(shè)備的熱噪音、宇宙射線(xiàn)的觸發(fā)時(shí)間、量子力學(xué)等這樣的隨機(jī)數(shù)發(fā)生器叫做物理性隨機(jī)數(shù)發(fā)生器計(jì)算機(jī)理論上可以產(chǎn)生統(tǒng)計(jì)意義上的真隨機(jī)數(shù)。實(shí)現(xiàn)方法：簡(jiǎn)單的講就是軟硬結(jié)合，或者說(shuō)，引入系統(tǒng)外的變量（把計(jì)算機(jī)想象成一個(gè)封閉的系統(tǒng)），如機(jī)器運(yùn)行環(huán)境中產(chǎn)生的硬件噪音。真隨機(jī)數(shù)偽隨機(jī)數(shù)采用隨機(jī)變化的種子產(chǎn)生偽隨機(jī)數(shù)，得到的結(jié)果更隨機(jī)些，但它還是偽隨機(jī)數(shù)。因?yàn)槿绻貜?fù)這個(gè)過(guò)程(給同樣值的種子)，得到的結(jié)果是重復(fù)的“我只要知道偽隨機(jī)數(shù)用的是哪種算法，就能準(zhǔn)確的知道下一個(gè)數(shù)將是什么”是對(duì)的，例如用時(shí)間做種子,你只要給入同樣的時(shí)間，就能得到同樣的結(jié)果偽隨機(jī)數(shù)因?yàn)榉N子一樣，如果平臺(tái)一樣，下例每次運(yùn)行生成的隨機(jī)數(shù)就是一樣的。偽隨機(jī)數(shù)偽隨機(jī)數(shù)安全問(wèn)題在加密函數(shù)中使用不安全的隨機(jī)數(shù)進(jìn)行加密操作導(dǎo)致可預(yù)測(cè)的加密密鑰，如果攻擊者能夠登錄到系統(tǒng)的話(huà)，就可能計(jì)算出前一個(gè)和下一個(gè)加密密鑰偽隨機(jī)數(shù)安全問(wèn)題從2018年1月至2019年3月，CVE中共有11條漏洞信息與隨機(jī)數(shù)相關(guān)偽隨機(jī)數(shù)安全問(wèn)題示例代碼偽隨機(jī)數(shù)安全問(wèn)題示例代碼偽隨機(jī)數(shù)安全問(wèn)題修復(fù)代碼DEFCON29：IoT設(shè)備的硬件隨機(jī)數(shù)生成器存在漏洞,研究員稱(chēng)影響幾乎每一臺(tái)IoT設(shè)備IoT設(shè)備中的隨機(jī)數(shù)安全問(wèn)題現(xiàn)時(shí)（Nonce）的應(yīng)用Nonce在很多加密方法的初始向量和加密散列函數(shù)中發(fā)揮著重要作用在各類(lèi)認(rèn)證協(xié)議中被用來(lái)確保認(rèn)證信息不被重復(fù)使用以對(duì)抗重放攻擊。Nonce也用于流密碼加密過(guò)程中，如果需要使用相同的密鑰加密一個(gè)以上的消息，就需要Nonce來(lái)確保不同的消息與該密鑰加密的密鑰流不同消息順序的認(rèn)證三、消息發(fā)送方認(rèn)證（數(shù)字簽名）消息內(nèi)容和順序認(rèn)證可以保護(hù)信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方自己產(chǎn)生的攻擊（偽造和否認(rèn)）消息的發(fā)送方認(rèn)證問(wèn)題：1、B可以偽造一條消息，說(shuō)是A發(fā)給自己的；2、A給B發(fā)了一條消息，但事后否認(rèn)是自己發(fā)的MEKDKMA||C

=E

(K,h)hMCHh=H

(M)Hh

比較BMCh

=D

(K,C)簽名簽名是證明當(dāng)事者的身份和數(shù)據(jù)真實(shí)性的一種信息，既然簽名是一種信息，因此簽名可以用不同的形式來(lái)表現(xiàn)：如傳統(tǒng)的手印、手簽、印章，現(xiàn)代的數(shù)字簽名等。在傳統(tǒng)的以書(shū)面文件為基礎(chǔ)的事務(wù)處理中，采用書(shū)面簽名的形式，對(duì)用戶(hù)的身份進(jìn)行認(rèn)證，具有一定的法律意義。以計(jì)算機(jī)文件為基礎(chǔ)的現(xiàn)代事務(wù)處理（電子商務(wù)、電子政務(wù)、電子金融）中，需要采用電子形式的簽名進(jìn)行用戶(hù)身份認(rèn)證，即數(shù)字簽名（DigitalSignature）。法國(guó)是世界上第一個(gè)制定并通過(guò)數(shù)字簽名法律的國(guó)家，美國(guó)也有一些州已經(jīng)通過(guò)數(shù)字簽名法，我國(guó)正在制定。

簽名的基本要求一個(gè)完善的數(shù)字簽名應(yīng)滿(mǎn)足以下條件：簽名不能偽造：簽名是簽名者對(duì)文件內(nèi)容合法性的認(rèn)同、證明和標(biāo)記，其他人的簽名無(wú)效；簽名不可抵賴(lài)：這是對(duì)簽名者的約束，簽名者的認(rèn)同、證明、標(biāo)記是不可否認(rèn)的；簽名不可改變：文件簽名后是不可改變的，這保證了簽名的真實(shí)性、可靠性；簽名容易驗(yàn)證：對(duì)于簽名的文件，一旦發(fā)生糾紛，任何第三方都可以準(zhǔn)確、有效地進(jìn)行驗(yàn)證數(shù)字簽名要解決的問(wèn)題設(shè)用戶(hù)A要向用戶(hù)B發(fā)送文件M，數(shù)字簽名主要研究解決這一過(guò)程中的以下問(wèn)題：A如何在文件M上簽名?B如何驗(yàn)證A的簽名的真?zhèn)?B如何阻止A簽名后又抵賴(lài)?數(shù)字簽名：基本原理數(shù)字簽名利用密碼技術(shù)進(jìn)行，其安全性取決于密碼體制的安全程度。簽名體制包括兩個(gè)方面：施加簽名；驗(yàn)證簽名。施加簽名：設(shè)施加簽名的算法為SIG，產(chǎn)生簽名的密鑰為K，被簽名的數(shù)據(jù)為M，產(chǎn)生的簽名的信息為S，則有：驗(yàn)證簽名：算法為VER，對(duì)簽名S進(jìn)行驗(yàn)證：數(shù)字簽名：要求在計(jì)算機(jī)中若也象書(shū)面文件那樣簡(jiǎn)單地把簽名信息附加在文件內(nèi)容之后，則簽名必須滿(mǎn)足：當(dāng)M′≠M(fèi)時(shí)，有：

SIG（K

，M′）≠

SIG（K，M），即S≠S′

簽名S只能簽名者產(chǎn)生，否則別人便可偽造，于是簽名者就可以抵賴(lài)；收信者可以驗(yàn)證簽名S的真?zhèn)?，使得?dāng)簽名S為假時(shí)收信者不致上當(dāng)，為真時(shí)又可阻止簽名者的抵賴(lài)。（a）用公開(kāi)密碼算法實(shí)現(xiàn)數(shù)字簽名（對(duì)整個(gè)消息簽名）MESKAC=E

(SKA,M)DPKAM發(fā)送者(A)接收者(B)CMM

sHh

比較SKAME||Hh=H

(M)sDPKAhh

=D

(PKA,S)

s發(fā)送者(A)接收者(B)（b）用公開(kāi)密碼算法實(shí)現(xiàn)數(shù)字簽名（對(duì)消息散列值簽名）兩種公開(kāi)密碼算法簽名方式數(shù)字簽名：實(shí)現(xiàn)算法有很多算法可以應(yīng)用于數(shù)字簽名：利用RSA密碼實(shí)現(xiàn)數(shù)字簽名利用EIGamal密碼實(shí)現(xiàn)數(shù)字簽名利用橢圓曲線(xiàn)密碼實(shí)現(xiàn)數(shù)字簽名利用RSA實(shí)現(xiàn)數(shù)字簽名DSKAPKA用公開(kāi)密鑰核實(shí)簽名

用秘密密鑰進(jìn)行簽名M發(fā)送者A接收者BD(M,SKA)MEPKA={e,n}，SKA=b0rvvtiA對(duì)M的簽名：

SA=D(M,SKA)=Mdmodn驗(yàn)證簽名：

E(SA,PKA)=(Md)emodn=M利用EIGamal實(shí)現(xiàn)數(shù)字簽名利用ECC實(shí)現(xiàn)數(shù)字簽名實(shí)際應(yīng)用中，為什么數(shù)字簽名總是對(duì)信息、證書(shū)、文件等的散列值進(jìn)行簽名？性能上的考慮實(shí)現(xiàn)完整性保護(hù)散列函數(shù)在數(shù)字簽名中的作用實(shí)際應(yīng)用中，為什么數(shù)字簽名總是對(duì)信息、證書(shū)、文件等的散列值進(jìn)行簽名？性能上的考慮實(shí)現(xiàn)完整性保護(hù)散列函數(shù)在數(shù)字簽名中的作用實(shí)際應(yīng)用中，為什么數(shù)字簽名總是對(duì)信息、證書(shū)、文件等的散列值進(jìn)行簽名？性能上的考慮實(shí)現(xiàn)完整性保護(hù)散列函數(shù)在數(shù)字簽名中的作用PGP中的數(shù)字簽名補(bǔ)充：其它數(shù)字簽名不可否認(rèn)簽名：在得不到簽名者配合的情況下，其他人不能進(jìn)行簽名驗(yàn)證，從而防止非法復(fù)制和擴(kuò)散簽名者所簽署的文件。對(duì)于保護(hù)軟件等知識(shí)產(chǎn)權(quán)有積極意義。否認(rèn)簽名：簽名者可以利用執(zhí)行否認(rèn)協(xié)議向公眾證明某一個(gè)文件的簽名是假的。盲簽名：需要某個(gè)人對(duì)某數(shù)據(jù)簽名，而又不能讓他知道數(shù)據(jù)的內(nèi)容。四、小結(jié)與討論Windows操作系統(tǒng)以及一些安全軟件是如何防止系統(tǒng)中的重要文件、升級(jí)包被攻擊者替換、篡改？討論數(shù)字簽名除了保證不可否認(rèn)性，還能保證什么安全屬性？大部分應(yīng)用場(chǎng)景下，數(shù)字簽名的目的是保證真實(shí)性（發(fā)送方身份是真實(shí)的）、完整性（沒(méi)有被篡改，與散列碼結(jié)合）討論除了對(duì)消息的散列碼進(jìn)行簽名，還可以使用其他能反映消息特征的碼進(jìn)行簽名嗎？如果可以，這樣的碼要滿(mǎn)足什么樣的要求？討論用公開(kāi)密碼算法實(shí)現(xiàn)加密與實(shí)現(xiàn)數(shù)字簽名有什么區(qū)別？目的不同：加密是機(jī)密性，而簽名則是真實(shí)性和完整性實(shí)現(xiàn)方式不同：發(fā)送方用接收方的公鑰進(jìn)行加密，接收方用自己的私鑰解密；而簽名是簽名者用自己的私鑰簽名，接收方用簽名者的公鑰驗(yàn)證簽名討論：公鑰算法加密與簽名消息認(rèn)證涉及安全性質(zhì)：機(jī)密性、完整性、可鑒別性【保證信息的真實(shí)狀態(tài)是可以鑒別的，即信息沒(méi)有被篡改（完整性）、身份是真實(shí)的（真實(shí)性）、對(duì)信息的操作是不可抵賴(lài)的（不可抵賴(lài)性），重放的信息算什么屬性？】，抗不同攻擊：偽造、重放、篡改、否認(rèn)等，要用到防護(hù)技術(shù)：加密（對(duì)稱(chēng)、公開(kāi)）、簽名、散列、MAC、現(xiàn)時(shí)（Nonce）等，組合太多，要根據(jù)用戶(hù)的需求選擇最佳方法消息認(rèn)證小結(jié)內(nèi)容提綱消息認(rèn)證2身份認(rèn)證3散列函數(shù)1身份認(rèn)證一個(gè)系統(tǒng)的安全性常常依賴(lài)于對(duì)終端用戶(hù)身份的正確識(shí)別與檢查。對(duì)計(jì)算機(jī)系統(tǒng)的訪(fǎng)問(wèn)必須根據(jù)訪(fǎng)問(wèn)者的身份施加一定的限制，這些是最基本的安全問(wèn)題。身份認(rèn)證一般涉及兩方面的內(nèi)容：識(shí)別和驗(yàn)證。識(shí)別：識(shí)別是指要明確訪(fǎng)問(wèn)者是誰(shuí)，即必須對(duì)系統(tǒng)中的每個(gè)合法用戶(hù)都有識(shí)別能力。要保證識(shí)別的有效性，必須保證任意兩個(gè)不同的用戶(hù)都不能具有相同的識(shí)別符。驗(yàn)證：驗(yàn)證是指在訪(fǎng)問(wèn)者聲稱(chēng)自己的身份后(向系統(tǒng)輸入它的識(shí)別符)，系統(tǒng)還必須對(duì)它所聲稱(chēng)的身份進(jìn)行驗(yàn)證，以防假冒。身份認(rèn)證個(gè)人身份驗(yàn)證方法可以分成四種類(lèi)型：所知：驗(yàn)證他知道什么，如密碼、口令所有：驗(yàn)證他擁有什么，如身份證、護(hù)照、信用卡、智能門(mén)卡所在：驗(yàn)證他在什么位置，如IP、辦公室地址用戶(hù)特征：驗(yàn)證他的生物特征（如指紋、虹膜、DNA等）、行為特征（如擊鍵、筆跡）四種方式：口令認(rèn)證信物認(rèn)證地址認(rèn)證用戶(hù)特征認(rèn)證密碼學(xué)認(rèn)證身份認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證口令有什么科學(xué)規(guī)律嗎？著名口令安全研究專(zhuān)家汪定教授所在團(tuán)隊(duì)的研究成果口令規(guī)律312每年5月的第一個(gè)星期四世界口令（密碼）日（WorldPasswordDay）一、口令認(rèn)證用戶(hù)在注冊(cè)階段生成用戶(hù)名和初始口令，系統(tǒng)在其用戶(hù)文件或數(shù)據(jù)庫(kù)中保存用戶(hù)的信息（用戶(hù)名和口令）。當(dāng)用戶(hù)登錄認(rèn)證時(shí)，將自己的用戶(hù)名和口令上傳給服務(wù)器，服務(wù)器通過(guò)查詢(xún)其保存的用戶(hù)信息來(lái)驗(yàn)證用戶(hù)上傳的認(rèn)證信息是否和保存的用戶(hù)信息相匹配。如果匹配則認(rèn)為用戶(hù)是合法用戶(hù)，否則拒絕服務(wù)，并將認(rèn)證結(jié)果回傳給客戶(hù)端。用戶(hù)定期改變口令，以保證安全性。這種口令因其實(shí)現(xiàn)簡(jiǎn)單、使用方便，得到了廣泛的應(yīng)用。靜態(tài)口令動(dòng)態(tài)口令也稱(chēng)為一次性口令，其基本原理：在用戶(hù)登錄過(guò)程中，基于用戶(hù)口令加入不確定因子，對(duì)用戶(hù)口令和不確定因子進(jìn)行單向散列函數(shù)變換，所得的結(jié)果作為認(rèn)證數(shù)據(jù)提交給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器接收到用戶(hù)的認(rèn)證數(shù)據(jù)后，把用戶(hù)的認(rèn)證數(shù)據(jù)和自己用同樣的散列算法計(jì)算出的數(shù)值進(jìn)行比對(duì)，從而實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。動(dòng)態(tài)口令按生成原理可分為非同步和同步兩種認(rèn)證技術(shù)。非同步認(rèn)證技術(shù)生成的動(dòng)態(tài)口令主要是依據(jù)挑戰(zhàn)－響應(yīng)原理來(lái)實(shí)現(xiàn)。同步認(rèn)證技術(shù)包括與時(shí)間有關(guān)的時(shí)鐘同步認(rèn)證技術(shù)和與時(shí)間無(wú)關(guān)的事件同步認(rèn)證技術(shù)。動(dòng)態(tài)口令分類(lèi)動(dòng)態(tài)口令認(rèn)證過(guò)程挑戰(zhàn)—響應(yīng)機(jī)制圖形口令圖形口令圖形口令二、密碼學(xué)認(rèn)證常用的密碼學(xué)認(rèn)證協(xié)議有一次性口令認(rèn)證、基于共享密鑰的認(rèn)證、基于公鑰證書(shū)的認(rèn)證、零知識(shí)證明和標(biāo)識(shí)認(rèn)證等密碼學(xué)認(rèn)證（一）一次性口令認(rèn)證一次性口令（One-TimePassword,OTP），一般使用雙運(yùn)算因子來(lái)實(shí)現(xiàn)固定因子，即用戶(hù)的口令或口令散列值動(dòng)態(tài)因子，每次不一樣的因子，如時(shí)間，事件序列，挑戰(zhàn)/應(yīng)答（challenge/response）。每種各有優(yōu)缺點(diǎn)一次性口令認(rèn)證一次性口令認(rèn)證協(xié)議S/KEY：1991年貝爾通信研究中心研制S/KEY迭代值(IC)

種子(seed)

秘密口令散列函數(shù)f

64位OTP6個(gè)單詞（每個(gè)11位）2位檢驗(yàn)和編碼基本原理S/KEY中，服務(wù)器產(chǎn)生挑戰(zhàn)（challenge）信息。挑戰(zhàn)信息由迭代值（IterationCount,IC）和種子（seed）組成。迭代值，指定散列計(jì)算的迭代次數(shù)，為1~100之間的數(shù)，每執(zhí)行一次挑戰(zhàn)/響應(yīng)過(guò)程，IC減1（當(dāng)IC為1時(shí)，則必須重新進(jìn)行初始化）。種子由兩個(gè)字母和5個(gè)數(shù)字組成。例如，挑戰(zhàn)信息“05xa13783”表示迭代值為05，種子為“xa13783”?？蛻?hù)端收到挑戰(zhàn)后，要將秘密口令與種子“xa13783”拼接后，做5次散列運(yùn)算。S/KEY基本原理S/KEY中支持三種散列函數(shù)，即MD4,MD5和SHA。OTP服務(wù)器將散列函數(shù)的固定輸出折疊成64位（OTP的長(zhǎng)度）。64位OTP可以被轉(zhuǎn)換為一個(gè)由6個(gè)英文單詞組成的短語(yǔ)，每個(gè)單詞由1~4個(gè)字母組成，被編碼成11位，6個(gè)單詞共66位，其中最后2位（11*6-64=2）用于存儲(chǔ)校驗(yàn)和。S/KEY基本原理S/KEY安全性分析用戶(hù)的秘密口令沒(méi)有在網(wǎng)絡(luò)上傳輸，傳輸?shù)闹皇且淮涡钥诹?，并且一次性口令即使在傳輸過(guò)程中被竊取，也不能再次使用；客戶(hù)端和服務(wù)器存儲(chǔ)的是用戶(hù)秘密口令的散列值，即使客戶(hù)端和服務(wù)器被攻陷導(dǎo)致口令散列值被竊取，也需破解口令散列才能獲得明文口令S/KEY安全性分析用戶(hù)登錄一定次數(shù)后，客戶(hù)和服務(wù)器必須重新初始化口令序列；為了防止重放攻擊，系統(tǒng)認(rèn)證服務(wù)器具有唯一性，不適合分布式認(rèn)證單向認(rèn)證（即服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證），不能保證認(rèn)證服務(wù)器的真實(shí)性S/KEY使用的種子和迭代值采用明文傳輸，攻擊者可以利用小數(shù)攻擊來(lái)獲取一系列口令冒充合法用戶(hù)S/KEY小數(shù)攻擊原理S/KEY改進(jìn)的S/KEY協(xié)議核心思想：不在網(wǎng)絡(luò)中傳輸一次性口令散列值。使用用戶(hù)的口令散列對(duì)挑戰(zhàn)進(jìn)行散列，并將計(jì)算結(jié)果發(fā)送給服務(wù)器。服務(wù)器收到后，同樣使用服務(wù)器保存的用戶(hù)口令散列對(duì)挑戰(zhàn)進(jìn)行散列計(jì)算，并與客戶(hù)端發(fā)來(lái)的應(yīng)答進(jìn)行比較，如果相同則認(rèn)證通過(guò)，否則拒絕Windows2000及其之后版本中的NTLM認(rèn)證所實(shí)現(xiàn)的挑戰(zhàn)/響應(yīng)機(jī)制就使用了這個(gè)改進(jìn)的S/KEY協(xié)議S/KEY改進(jìn)的S/KEY？WindowsNTLM改進(jìn)的S/KEY(2)WindowsNTLM改進(jìn)的S/KEY(1)(2)(3)(4)WindowsNTLM（另一張參考圖）改進(jìn)的S/KEY安全性分析：用戶(hù)很容易求出正確的一次性口令，采用一次性口令的匹配通過(guò)服務(wù)器的身份認(rèn)證；攻擊者即使截獲一次性口令，也不能破解出用戶(hù)口令散列；攻擊者不能預(yù)測(cè)下一次一次性口令，也不能重放成功。改進(jìn)的S/KEY協(xié)議安全性分析：能夠避免監(jiān)聽(tīng)和重放，但不能防范攔截和修改數(shù)據(jù)包、會(huì)話(huà)劫持等攻擊。

網(wǎng)絡(luò)系統(tǒng)的安全僅等同于使用的最弱散列算法的安全強(qiáng)度。

沒(méi)有完整性保護(hù)機(jī)制，也無(wú)法防范內(nèi)部攻擊。不能對(duì)服務(wù)器的身份進(jìn)行認(rèn)證。改進(jìn)的S/KEY協(xié)議（二）其于共享密鑰的認(rèn)證Needham-Schroeder雙向鑒別協(xié)議密鑰分配中心KDC發(fā)起者A響應(yīng)者B(2)E(Ka,[Ks||IDB||N1||E(Kb,[Ks||IDA])])(3)E(Kb,[Ks||IDA])(4)E(Ks,N2)(5)E(Ks,f(N2))(1)IDA||IDB||N1問(wèn)題1：執(zhí)行完上述三個(gè)步驟后，A和B已得到了由KDC分配的一次性會(huì)話(huà)密鑰，可用于后續(xù)的保密通信，為什么還要增加后面兩個(gè)步驟？問(wèn)題2：第(5)步中，為什么要問(wèn)個(gè)題f(N2)，而不是直接用N2？Needham-Schroeder雙向鑒別協(xié)議安全性分析及改進(jìn)思路Needham-Schroeder雙向鑒別協(xié)議Kerberos認(rèn)證協(xié)議以N-S協(xié)議為基礎(chǔ)，通過(guò)可信第三方進(jìn)行客戶(hù)和服務(wù)器間的相互認(rèn)證，交換會(huì)話(huà)密鑰，以建立客戶(hù)和服務(wù)器間的信任和安全傳輸信道，由MIT首先提出并實(shí)現(xiàn)。共有5個(gè)主要版本，V1~V3主要在校內(nèi)使用，V4在MIT校外得到了廣泛應(yīng)用。V5于1993年成為IETFRFC（RFC1510），后經(jīng)多次修訂（RFC1964,4120,4121,4757），最新是2012年7月頒布的RFC6649。Windows從Windows2000就開(kāi)始支持基于Kerberos的認(rèn)證協(xié)議。Kerberos認(rèn)證協(xié)議Kerberos認(rèn)證協(xié)議協(xié)議認(rèn)證過(guò)程KerberosV5對(duì)V4做了多處改進(jìn)，主要改進(jìn)如下：第1步：V5中將V4中的生命期（Lifetime，8位長(zhǎng)，每單位表示5分鐘，因此最長(zhǎng)1280分鐘）修改為精確的起止時(shí)間，允許許可證擁有任意長(zhǎng)的生命期。第2步：V4只使用IP地址，V5中用類(lèi)型和長(zhǎng)度標(biāo)記網(wǎng)絡(luò)地址，允許使用任何類(lèi)型的網(wǎng)絡(luò)地址第5步：V5對(duì)V4的客戶(hù)與應(yīng)用服務(wù)器間的認(rèn)證交換進(jìn)行了改進(jìn)，增加了兩個(gè)新的域：子密鑰（Subkey）和序列號(hào)（seq#）。V4只支持DES，V5支持多種加密算法Kerberos認(rèn)證協(xié)議Kerberos認(rèn)證協(xié)議分布式認(rèn)證安全性分析一旦用戶(hù)獲得過(guò)訪(fǎng)問(wèn)某個(gè)服務(wù)器的許可證，只要在許可證的有效期內(nèi)，該服務(wù)器就可根據(jù)這個(gè)許可證對(duì)用戶(hù)進(jìn)行認(rèn)證，而無(wú)需KDC的再次參與；實(shí)現(xiàn)了客戶(hù)和服務(wù)器間的雙向認(rèn)證；支持跨域認(rèn)證；應(yīng)用廣泛，互操作性好。Kerberos認(rèn)證協(xié)議安全性分析Kerberos認(rèn)證中使用的時(shí)間戳機(jī)制依賴(lài)于域內(nèi)時(shí)鐘同步，如果時(shí)間不同步存在較大的安全風(fēng)險(xiǎn)；Kerberos無(wú)法應(yīng)付口令猜測(cè)攻擊；主體必須保證他們的私鑰的安全；Kerberos中AS和TGS采用集中式管理，容易形成瓶頸。Kerberos認(rèn)證協(xié)議Windows2000Server中的KerberosKerberos認(rèn)證協(xié)議Windows2000Server中的Kerberos1、如何獲得“認(rèn)購(gòu)權(quán)證”Kerberos認(rèn)證協(xié)議Windows2000Server中的Kerberos2、如何通過(guò)“認(rèn)購(gòu)權(quán)證”購(gòu)買(mǎi)“入場(chǎng)券”？Kerberos認(rèn)證協(xié)議Windows2000Server中的Kerberos3、憑票入場(chǎng)Kerberos認(rèn)證協(xié)議參考講解（來(lái)自謝希仁教授的《計(jì)算機(jī)網(wǎng)絡(luò)》）Kerberos認(rèn)證協(xié)議目前最出名的密鑰分配協(xié)議是KerberosV5。Kerberos既是鑒別協(xié)議，同時(shí)也是KDC，它已經(jīng)變得很普及，現(xiàn)在是互聯(lián)網(wǎng)建議標(biāo)準(zhǔn)。Kerberos使用比DES更加安全的高級(jí)加密標(biāo)準(zhǔn)AES進(jìn)行加密。KerberosKerberos認(rèn)證協(xié)議ABKerberosA

ASTGSKTG

KAA,KSKS,Kerberos認(rèn)證協(xié)議ABKerberosA

ASTGSKTG

KAA,KSKS,A并不保存密鑰KA

。A需鍵入正確口令，利用適當(dāng)?shù)乃惴ㄉ擅荑€KA

。這個(gè)口令隨即被銷(xiāo)毀。Kerberos認(rèn)證協(xié)議ABKerberosA

ASTGSTKAB,

A,KABKBT+1KAB

A,KSTKS,B,KTGA,KABKB,

B,KABKSKTG

KAA,KSKS,Kerberos認(rèn)證協(xié)議Kerberos密鑰分配說(shuō)明A用明文（包括登記的身份）向鑒別服務(wù)器AS表明自己的身份。AS向A發(fā)送用A的對(duì)稱(chēng)密鑰KA

加密的報(bào)文，這個(gè)報(bào)文包含A和TGS通信的會(huì)話(huà)密鑰KS，以及AS要發(fā)送給TGS的票據(jù)（這個(gè)票據(jù)是用TGS的對(duì)稱(chēng)密鑰KTG

加密的）。Kerberos認(rèn)證協(xié)議Kerberos密鑰分配說(shuō)明A向TGS發(fā)送三個(gè)項(xiàng)目：轉(zhuǎn)發(fā)鑒別服務(wù)器AS發(fā)來(lái)的票據(jù)。服務(wù)器B的名字。這表明A請(qǐng)求B的服務(wù)。請(qǐng)注意，現(xiàn)在A向TGS證明自己的身份并非通過(guò)鍵入口令（因?yàn)槿肭终吣軌驈木W(wǎng)上截獲明文口令），而是通過(guò)轉(zhuǎn)發(fā)AS發(fā)出的票據(jù)（只有A才能提取出）。票據(jù)是加密的，入侵者偽造不了。用

KS

加密的時(shí)間戳T。它用來(lái)防止入侵者的重放攻擊。Kerberos認(rèn)證協(xié)議Kerberos密鑰分配說(shuō)明TGS發(fā)送兩個(gè)票據(jù)，每一個(gè)都包含A和B通信的會(huì)話(huà)密鑰KAB。給A的票據(jù)用